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BESCHREIBUNG 



Verfahren zum Potenzieren bzw. Multiplizieren von Elementen 

Die vorliegende Erfindung betrifft ein Verfahren zur Multipotenzierung Tl^i gf* bzw. 
5 zur Multiskalarmultiplikation eigi von Elementen g t mittels jeweils mindestens 
eines jeweils eine maximale Bitanzahl n oder Bitlange aufweisenden, insbesondere 
ganzzahligen Exponenten bzw, Skalars e u insbesondere zur Potenzierung g e bzw. zur 
Skalarmultiplikation e g eines Elements g mittels mindestens eines eine maximale 
Bitanzahl n oder Bitlange aufweisenden, insbesondere ganzzahligen Exponenten bzw. 
10 Skalars e, welche Elemente g t ; g mindestens einer 

im Falle der (Multi-)Potenzierung insbesondere multiplikativ bzw. 

im Falle der (Multi-) Skalarmultiplikation insbesondere additiv 
notierten, zum Beispiel Abelschen Gruppe G entstammen. 

15 Bei asymmetrischen Verschliisselungsverfahren oder Public-Key-Kryptosystemen, die 
auf der Unlosbarkeit des diskreten Logarithmusproblems in Abelschen Gruppen 
beruhen, stellt die Potenzierung g n eines Gruppenelements g oder die Multipotenzierung 
gi ni 'hk k mehrerer Gruppenelemente g, h eine der fundamentalen Operationen in 
Signatur- und Schlusselaustauschverfahren dar. Die Beschleunigung dieser funda- 

20 mentalen Operation ist daher von besonderer Bedeutung. 

Die Moglichkeit, Potenzen des Gruppenelements g vorzuberechnen, unterliegt dem 
Problem, dass hierbei das benutzte Gruppenelement g vorher bekannt sein muss. Dies 
ist etwa im Falle der Signaturverifizierung im D[igital]S[igna1in-e]A[lgorithm] oder im 
25 E[lliptic]C[urve] D[igital]S[ignature]A[lgorithm] oder im DiflBe-Hellman-Schlussel- 
austauschverfahren nicht der Fall. Hinzu kommt, dass zum Beispiel auf Smart-Cards 
nicht unbedingt geniigend Speicheiplatz vorhanden ist, urn eine hinreichend grosse 
Anzahl von vorberechneten Elementen abzuspeichern. 
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Eine andere Moglichkeit besteht in der Rekodierung des benutzten Exponenten; diese 
Moglichkeit ist unabhangig von der Wahl des Gruppenelements g und daher besonders 
attraktiv flir die Beschleunigung der vorstehend erwahnten Signatur- und Schliisselaus- 
tauschverfahren. 

Die Techniken zum Rekodieren des benutzten Exponenten in Algorithmen fur (Multi- 
)Potenzierung beruhen auf der Grundidee, dass eine ganze Zahl neu in einer anderen 
Form als der ublichen binaren Darstellung geschrieben wird, und zwar mit einer 
kleineren Dichte und mit Koeffizienten in einer endlichen Menge ganzer Zahlen C, die 
zumindest die Elemente 0 und 1 enthalt 

Wenn in der konkreten Gruppe, in der gerechnet wird, das Invertieren eines Elements 
"gratis" ist, das heiBt wenn der rechnerische Aufwand flir das Invertieren im Vergleich 
zu den anderen Gruppenoperationen sehr gering ist und wenn der Gebrauch von 
vorzeichenbehafteten Koeffizienten gestattet ist, dann kann stets angenommen werden, 
dass czC auch -csC impliziert. Wenn das Invertieren rechnerisch aufwendig ist 3 sind 
alle Elemente der Menge C nichtnegative ganze Zahlen. 

Ein sogenannter "square-and-multiply"-Potenzierungsalgori1bmus flir die Berechnung 
von g e , wobei g ein Gruppenelement und e eine ganze Zahl ist, arbeitet dann 
bekanntermaBen wie folgt: 

* 

e wird als E /=0 * e(l l geschrieben, wobei jeder Koeffizient e t in C liegt; 
die Elemente g e " sind entweder gegeben oder werden vorberechnet; 
die temporare Variable x wird auf g e " gesetzt; 

flir alle i = n-l, n-2, 0 wird zuerst x quadriert und dann, falls der Koeffizient 
eg nichtverschwindend ist, mit dem Element gf* multipliziert; 
nach der flir z = 0 erfolgten letzten Quadrierung und gegebenenfalls (namlich 
falls Koeffizient e 0 nichtverschwindend ist) nach der Multiplikation mit dem 
Element g e ° ist der Wert der temporaren Variable x das gewiinschte Resultat g e . 
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Die Anzahl der Gruppenoperationen ist dann etwa gleich der Anzahl der nichtver- 
schwindenden Koeffizienten e% in der Darstellung Er=o* e{L l des Exponenten e (diese 
Gruppenoperationen sind Multiplikationen mit entweder vorberechneten oder gege- 
benen Gruppenelementen oder, falls die Inversion von Gruppenelementen schnell ist, 
5 mit deren Inversen) zuziiglich 

der Lange n der Darstellung (die entsprechenden, etwa n Operationen sind hier 

Quadrierungen) sowie 

der Machtigkeit der Tabelle der Elemente g c , wobei csC und c ungleich Null 
ist, oder 

10- der Halfte dieser Machtigkeit, falls die Inversion in der gegebenen Gruppe 

schnell ist und die Koeffizienten e t vorzeichenbehaftet sind. 

Eine gute Abgleichung zwischen der GrSBe von C und der Dichte der Darstellung ist in 
der Darstellung des Exponenten der Weg zur optimalen Leistung. 

15 

Beispiele von Exponentenrekodierung sind: 

die N[on]A[djacent]F[orm] (vgl. G. W. Reitwiesner, "Binary arithmetic", 
Advances in Computers 1, Seiten 231 bis 308, 1960; S. Arno undF. S. Wheeler, 
"Signed digit representations of minimal Hamming weight", IEEE Transactions 

20 on Computers 42, 1993, Seiten 1007 bis 1010); 

die zur N[on]A[djacent]F[orm] ahnliche Methode gleichen Gewichts (vgl. M. 
Joye und S.-M. Yen, "Optimal left-to-right binary signed-digit recoding", IEEE 
Transactions on Computers 49 (7), 2000, Seiten 740 bis 748); 
die Rekodierung zur Potenzierung mit festen Fenstem (vgl. J. Bos und M. 

25 Coster, "Addition chain heuristics", in Advances in Cryptology - CRYPTO ! 89, 

LNCS 435, 1990, Seiten 400 bis 407; A. Menezes, P. van Oorschot und S. 
Vanstone, "Handbook of Applied Cryptography", CRC Press, 1996); 
die G[eneraHzed]N[on] A[djacent]F[orm] (vgl. W. E. Clark und J. J. Liang, "On 
arithmetic weight for a general radix representation ot integers", IEEE 

30 Transactions on Information Theory IT-19, 1973, Seiten 823 bis 826); 
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"sliding windows" (vgl. E. G. Thurber, "On addition chains l(mn) < l(n)b and 
lower bounds for c(r)", Duke Mathematical Journal 40, 1973, Seiten 907 bis 
913; A. Menezes, P. van Oorschot und S. Vanstone, "Handbook of Applied 
Cryptography", CRC Press, 1996), eventuell auf der N[on]A[djacent]F[orm] 
5 oder auf weiteren redundanten Basis 2-Darstellungen (vgl. R. Avanzi, "On the 

complexity of certain multi-exponentiation techniques in cryptography", 
erscheint in Journal of Cryptology; K. Koyama und Y. Tsuruoka, "Speeding up 
elliptic cryptosystems by using a signed binary window method", in E. Brickell 
(Hrsg.), "Advances in Cryptology, Proceedings of Crypto f 92", Lecture Notes in 
10 Computer Science Band 740, Seiten 345 bis 357, Springer- Verlag, 1992; vgl. 

auch K. Koyama, Y. Tsuruoka, "A Signed Binary Window Method for Fast 
Computing over Elliptic Curves", IEICE Trans. Fundamentals, Band E76-A, Nr. 
1, Seiten 55 bis 62, Januar 1993); und die 

w[indow]N[on]A[djacent]F[orm] (vgl. J. A. Solinas, "An improved algorithm 
1 5 for arithmetic on a family of elliptic curves", in Advances in Cryptology - 

CRYPTO f 97, B. S. Kaliski jr. (Hrsg.), Lecture Notes in Computer Science Band 
1294, Seiten 357 bis 371; H. Cohen, "Analysis of the flexible window powering 
algorithm", Vorabdruck erhaltlich unter 
http://www.math.u-bordeaux.fr/-cohen/). 

Im Hinblick auf die Exponentenrekodierung ist allerdings zu bedenken ist, dass dieses 
Rekodieren in vielen Fallen nicht "online", das heifit wahrend der Potenzierung selbst 
erfolgen kann; aus diesem Grande miissen die rekodierten Exponenten zuerst 
gespeichert werden. Dieses Erfordernis des Abspeicherns ist jedoch insbesondere in 
extrem eingeschrankten Umgebungen, wie etwa bei Smart-Cards, nachteilig, denn in 
einer derartigen, extrem eingeschrankten Umgebung ist jedes Byte des Speichers 
"kostbar". 

Ausgehend von den vorstehend dargelegten Nachteilen und Unzulanglichkeiten sowie 
unter Wiirdigung des umrissenen Standes der Technik liegt der vorliegenden Erfindung 
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die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art so weiterzubilden, 
dass auch und gerade in extrem eingeschrankten Umgebungen, wie etwa bei Smart- 
Cards, der Bedarf an Speicherplatz fur rekodierte Exponenten bzw. Skalare so stark wie 
mdglich verringert wird. 

5 

Diese Aufgabe wird durch ein Verfahren mit den im Anspruch 1 angegebenen Merk- 
malen gelost. Vorteilhafte Ausgestaltungen und zweckmaBige Weiterbildungen der 
vorliegenden Erfindung sind in den Unteranspriichen gekennzeichnet. 

1 0 Mithin basiert die vorliegende Erfindung auf dem Prinzip des almost-online-Reko- 
dierens for einfaches Exponenzieren bzw. einfaches Skalarmultiplizieren oder fur 
Multipotenzieren bzw. Multiskalarmultiplizieren in beschrankten rechnerischen 
Umgebungen; in diesem Zusammenhang bedeutet "almost-online"-Rekodieren, dass der 
Exponent bzw. Skalar in Abschnitte gespalten wird, die einzeln rekodiert werden und 

1 5 deren Rekodierung schichtweise zwischen Teilen der (Multi-)Potenzierung bzw. der 
(Multi-)Skalarmultiplikation erfolgt. 

Die Technik der "almost-online"-Rekodierung kann zur Verringerung des Speicher- 
bedarfs fur die rekodierten Exponenten bzw. fur die rekodierten Skalare eingesetzt 
20 werden. Die Auswirkungen der almost-online-Rekodierung auf die Totallaufzeit der 
(Multi-)Potenzierung bzw. der (Multi-)Skalarmultiplikation sind in der Regel minimal. 

Gedanklich ausgehend von den vorstehend erwahnten exemplarischen Rekodierungen, 
wird im Verfahren gemaB der vorliegenden Erfindung angenommen, dass die Reko- 

25 dierung im Falle der Multipotenzierung bzw. der Multiskalarmiiltiplikation von der 
Form ex = E^o* b$ ist; im Falle der (einfachen) Potenzierung bzw. der (einfachen) 
Skalarmultiplikation, die ein Spezialfall der Multipotenzierung bzw. der Multiskalar- 
multiplikation ist, wird entsprechend von der Annahme e = E,= 0 W bj2? ausgegangen, 
wobei n = |log 2 e| die Bitlange von e ist, dass heiBt diese Bitlange n ist hochstens ein Bit 

30 langer als die binaxe Darstellung. Dies bedeutet mit anderen Worten, dass n+1 als die 
maximale Lange eines jeden Exponenten bzw. Skalars e t = 2^ 0 " hp! zu verstehen ist. 
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Des weiteren wird angenommen, dass der rekodierende Algorithmic - moglicherweise 
nicht explizit - von einem Parameter w abhangt, der normalerweise der Breite eines 
Fensters, iiber dem die Bits der Exponenten bzw. Skalare e t gelesen werden, oder der 
oberen Schranke einer solchen Breite entspricht. 

Auf dieser Grundlage erfolgt gemaB der Lehre der vorliegenden Erfindung die 
symbolhaft in der Schreibweise Tl*** gf* ausdriickbare Multipotenzierung im Falle einer 
multiplikativ notierten, insbesondere Abelschen Gruppe G in den folgenden Schritten: 
zunachst: Wahlen einer Brocken- oder Teilbreite L, die wesentlich grofler als der 

Parameter w und wesentlich kurzer als die maximaJe Lange eines jeden 

Exponenten e z * sein kann; 

sodann: 

[a. 1 ] Berechnen und Speichern oder 
[a.2] Wiedererlangen aus einem Speicher 
aller Potenzen gf, 

wobei gi ein Element der Gruppe G und 

c ein zulassiger positiver Koeffizient ist; 

[b] Unterteilen eines jeden, insbesondere ganzzahligen Exponenten e t in mehrere 
Brocken oder in mehrere Teile e iyk rm\ der vorstehend gewahlten Brocken- oder 
Teilbreite L, 

[b- 1] wobei der Exponent e t in der unterteilten Form e t = S^o 7 * e ifk 2^ mit 0 < e i>k < 2 L 

geschrieben werden kann und 
[b.2] wobei die Anzahl r der Brocken oder Teile e i>k als insbesondere ganzzahliger 

Quotient aus der maximalen Bitanzahl n und der Bitanzahl L der Brocken- oder 

Teilbreite definiert werden kann; 

[c] einzelnes Rekodieren der Brocken oder Teile e ifh wobei dieses Rekodieren fur 
jeden einzelnen Brocken bzw. fiir jeden einzelnen Teil e itk eines jeden 
Exponenten e t in folgende Teilschritte unterteilt werden kann: 
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[c. 1] Setzen einer temporaren Variable x auf einen normierten Wert, insbesondere auf 
den Wert 1, wobei mit 1 das neutrale Element der Gruppe G bezuglich der der 
Gruppe G zugehorigen Gruppenoperation bezeichnet wird; 
[c.2] Setzen einer Variable k auf die Werte r-1 , r-2, 0 (einer nach dem anderen), 
5 wobei fiir jeden derartigen Wert k = r-1, r-2, 0 der Variable k die folgenden 

Teilschritte ausgefiihrt werden: 
[c.2.i] fiir jeden Wert i = 1, 2, d eines Index i, wobei d als Anzahl der Elemente g t 

und der den Elementen g t zugehorigen Exponenten e t definiert wird: 
[c.2.i.a] Rekodieren des Brockens oder Teils e uk als Sutnme E^= 0 b t J2! aus mit 

1 o jeweils einem einer endlichen Menge C ganzer Zahlen entstammenden 

Koeffizienten b ifJ gewichteten Zweierpotenzen 2 / ; 
[c.2.i.b] wenn der der hochsten Zweierpotenz 2 L zugeordnete Koeffizient b UL 

nicht verschwindet: Setzen der temporaren Variable x auf das Produkt 
von jc und der dem Koeffizienten b ifL der hochsten Zweierpotenz 2 L 
1 5 zugeordneten Potenz gt** des Elements g t ; 

[c.2ii] flir jeden Wert j = Z-l, Z-2, 0 des Index;: 

[c.2.ii.a] Quadrieren der temporaren Variable x; 
[c.2.ii,b] fiir jeden Wert * = 1, 2, d des Index i: 

* 

wenn der der Zweierpotenz 2 7 zugeordnete Koeffizient by nicht 
20 verschwindet: Setzen der temporaren Variable x auf das Produkt 

von x und der dem Koeffizienten btj der Zweierpotenz 2 / 
zugeordneten Potenz ^ J des Elements g& 
schlieBlich: Wiedergabe von x. 

25 Der Spezialfall der (einfachen) Potenzierung ergibt sich vorstehend flir d = 1 , das heiBt 
bei Vorliegen eines einzigen Elements g sowie eines einzigen dem Element g zuge- 
horigen Exponenten e, was de facto mit einem Weglassen des Index i gleichzusetzen ist; 
in diesem Falle wird dann also ein Element g mittels eines eine maximale Bitanzahl n 
oder Bitlange aufweisenden, insbesondere ganzzahligen Exponenten e zu einer Potenz 

30 g e potenziert, wobei das Element g wiederum einer multiplikativ notierten Abelschen 
Gruppe G entstammt. 
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In analoger Weise erfolgt gemaB der Lehre der vorliegenden Erfindung die symbolhaft 
in der Schreibweise 2^/ eig t ausdruckbare Multiskalarmultiplikation im Falle einer 
additiv notierten, insbesondere Abelschen Gruppe G in den folgenden Schritten: 
zunachst: Wahlen einer Brocken- oder Teilbreite L, die wesentlich grofler als der 

Parameter w und wesentlich kiirzer als die maximale Lange eines jeden 

Skalars e t sein kann; 

sodann: 

[a. 1 ] Berechnen und Speichern oder 
[a.2] Wiedererlangen aus einem Speicher 
aller Vielfachen c'g h 

wobei c ein zulassiger positiver Koeffizient und 
gi ein Element der Gruppe G ist; 

[b] Unterteilen eines jeden, insbesondere ganzzahligen Skalars e t in mehrere 
Brocken oder in mehrere Teile e i>k mit der vorstehend gewahlten Brocken- oder 
Teilbreite L, 

[b. 1 ] wobei der Skalar e t in der unterteilten Form e t = S^ 0 r e a 2^ mit 0 < e tk < 2 L 

geschrieben werden kann und 
[b.2] wobei die Anzahl r der Brocken oder Teile e i>k als insbesondere ganzzahliger 

Quotient aus der maximalen Bitanzahl n und der Bitanzahl L der Brocken- oder 

Teilbreite definiert werden kann; 

[c] einzelnes Rekodieren der Brocken oder Teile e ifk , wobei dieses Rekodieren fur 
jeden einzelnen Brocken bzw. Sir jeden einzelnen Teil e i>k eines jeden Skalars e t 
in folgende Teilschritte unterteilt werden kann: 

[c. 1] Setzen einer temporaren Variable x auf einen normierten Wert, insbesondere auf 

den Wert 0, wobei mit 0 das neutrale Element der Gruppe G bezuglich der der 

Gruppe G zugehorigen Gruppenoperation bezeichnet wird; 
[c.2] Setzen einer Variable k auf die Werte r-l 3 r-2, ... 3 0 (einer nach dem anderen), 

wobei fiir jeden derartigen Wert k= r-l 3 r-2 9 0 der Variable k die folgenden 

Teilschritte ausgeflihrt werden: 
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[c.2.i] fur jeden Wert / = 1, 2, d eines Index i, wobei d als Anzahl der Elemente g t 

und der den Elementen g t zugehorigen Skalare e f definiert wird: 
[c.2.i.a] Rekodieren des Brockens oder Teils e i>k als Summe S^ 0 hpl aus mit 

jeweils einem einer endlichen Menge C ganzer Zahlen entstammenden 
5 KoefBzienten 6^- gewichteten Zweierpotenzen 2/; 

[c.2.i.b] wenn der der hochsten Zweierpotenz 2 L zugeordnete Koeffizient b ifL 

nicht verschwindet: Setzen der temporaren Variable x auf die Summe 
von x und des dem KoefBzienten b ifL der hochsten Zweierpotenz 2 L 
zugeordneten Vielfachen brfgi des Elements g t ; 
10 [c.2.ii] fiirjedenWert7 = Z-l 5 i~2 3 0 des Indexy: 
[c.2.ii.a] Verdoppeln der temporaren Variable x; 
[c.2.ii.b] fiir jeden Wert i = 1, 2, d des Index i: 

wenn der der Zweierpotenz 2f zugeordnete Koeffizient by nicht 
verschwindet: Setzen der temporaren Variable jc auf die Summe 
1 5 von x und des dem KoefBzienten b t j der Zweierpotenz 2 / 

zugeordneten Vielfachen bijgi des Elements g t ; 
schlieBlich: Wiedergabe von x. 

Der Spezialfall der (einfachen) Skalarmultiplikation ergibt sich vorstehend fur d= 1, 
20 das heiBt bei Vorliegen eines einzigen Elements g sowie eines einzigen dem Element g 
zugehorigen Skalars e, was de facto mit einem Weglassen des Index i gleichzusetzen 
ist; in diesem Falle wird dann also ein Element g mit einem eine maximale Bitanzahl n 
oder Bitlange aufweisenden, insbesondere ganzzahligen Skalar e zu einem Produkt eg 
multipliziert, wobei das Element g wiederum einer additiv notierten Abelschen Gruppe 
25 G entstammt 

GemaB einer bevorzugten Weiterbildung der vorliegenden Erfindung wird 

der rekodierte Brocken oder der rekodierte Teil e i>k einmal verwendet und 
die Speichereinheit, in der der rekodierte Brocken oder der rekodierte Teil 
30 gespeichert wird, fiir das Rekodieren des folgenden Brockens oder des folgenden 

Teils e^i eingesetzt, 
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so dass der Speicherbedarf von auf rechts-nachJinks-Rekodieruagen ganzer Zahlen 
basierenden (MultiOPotenzierungsalgorifhmen bzw. (Multi-)Skalarmultiplikations- 
algorithmen betrachtlich verringert werden kann. 

Die vorliegende Erfindung betriffl des weiteren einen Mikroprozessor, arbeitend gemaB 
eiaem Verfahren gemaB der vorstehend dargelegten Art. 

Die vorliegende Erfindung betriffl des weiteren eine Vorrichtung, insbesondere Chip- 
karte und/oder insbesondere Smart-Card, aufweisend mindestens einen Mikroprozessor 
gemaB der vorstehend dargelegten Art. 

Die vorliegende Erfindung betriffl schliefilich die Verwendung 

eines Verfahrens gemaB der vorstehend dargelegten Art und/oder 
mindestens eines Mikroprozes sor s gemaB der vorstehend dargelegten Art 
und/oder 

mindestens einer Vorrichtung, insbesondere mindestens einer Chipkarte 
und/oder insbesondere mindestens einer Smart-Card, gemaB der vorstehend 
dargelegten Art 

bei mindestens einem Kryptosystem, insbesondere bei mindestens einem Public-Key- 
Kryptosystem, bei mindestens einem Schliisselaustauschsystem oder bei mindestens 
einem Signatursystem. 

Wie bereits vorstehend erortert, gibt es verschiedene Moglichkeiten, die Lehre der 
vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. 
Hierzu wird einerseits auf die dem Anspruch 1 nachgeordneten Anspriiche verwiesen, 
andererseits werden weitere Ausgestaltungen, Merkmale und Vorteile der vorliegenden 
Erfindung nachstehend anhand der exemplarischen Implementierung von fiinf 
Ausfiihrungsbeispielen naher erlautert, wobei sich 

das erste Ausfuhrungsbeispiel auf das Verfahren der Einfachpotenzierung (= 

einfache Exponenzierung), 
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das zweite Ausfiihrungsbeispiel auf das Verfahren der Multipotenzierung und 
das dritte Ausfuhrungsbeispiel ebenfalls auf das Verfahren der Multipotenzierung 
beziehen, das heiJBt von einer multiplikativen Notation fur die Abelsche Gruppe G 

ausgehen und wobei sich 
5 - das vierte Ausfuhrungsbeispiel auf das Verfahren der 

Einfachskalarmultiplikation (= einfache Skalarmultiplikation) und 
das fiinfte Ausfuhrungsbeispiel auf das Verfahren der Multiskalarmultiplikation 
beziehen, das heiBt von einer additiven Notation fur die Abelsche Gruppe G ausgehen 
(im Falle einer derartigen additiven Notation fur die Abelsche Gruppe G sind im Ver- 
1 0 gleich zur multiplikativen Notation flir die Abelsche Gruppe G im vorstehenden Kapitel 
"Stand der Technik" offensichtlicherweise Anderungen und Ersetzungen vorzunehmen, 
die aus den zwischen Anspruch 4 [<--> (Multi-)Potenzierung: neutrales Element "1"; 
"Quadrieren"; "Produkt"] und Anspruch 5 [<--> (Multi-) Skalarmultiplikation : neutrales 
Element "0"; "Verdoppeln"; "Summe"] unterschiedlichen Formulierungen ersichtlich 
1 5 sind. 

Die nachstehend zur vorliegenden Erfindung dargelegten funf Ausfuhrungsbeispiele 
bedienen sich einer allgemeinen Technik in Form der sogenannten almost-online- 
Rekodierung, die eingesetet werden kann, urn den Speicherbedarf von auf rechts-nach- 
20 links-Rekodierungen ganzer Zahlen basierenden 

Einfachpotenzierungsalgorithmen (vgl. erstes Ausfiihrungsbeispiel), 
Mullipotenzierungsalgorithmen (vgl. zweites Ausfuhrungsbeispiel und drittes 
Ausfiihrungsbeispiel), 

Einfachskalarmultiphzierungsalgorithmen (vgl. viertes Ausfiihrungsbeispiel) 
25 oder 

Multiskalarmultiplizieri^ (vgl. fiinftes Ausfiihrungsbeispiel) 

betrachtlich zu verringern. 

Die Technik der almost-online-Rekodierung kann in extrem beschrankten rechnerischen 
30 Umgebxmgen, wie zum Beispiel in Chipkarten oder in SmartCards, sehr niitzlich sein, 
wobei die Ersparnis an Speicherplatz in Abhangigkeit von der bestimmten Situation 
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betrachtlich sein kann (moglicherweise tritt ein allerdings sehr geringer Durchsatz- 
verlust auf, und zwar insbesondere darm 3 wenn der Exponent bzw. Skalar in zu viele 
Meine Teile (= in zu viele Heine "Brocken") vmterteilt wird; dann kann die Auswirkung 
auf die Leistung durchaus spriibar sein). 

Erstes Ausfuhrungsbeispiel: einfache Exponenzierung = "single exponentiation" 

Wenn G eine Abelsche Gruppe mit einer Ordnung der Groflenordnung 2 n ist und ange- 
nommen wird, dass ein Element gsG und eine ganze Zahl e gegeben sind, so wird 
erfindungsgemaB darauf abgezielt, x = g e schnellstmoglich zu berechnen. Die erfin- 
dungsgemaB ausgesuchte Rekodierung macht die Potenzierung sehr schnell, jedoch 
kann diese Rekodierung nicht online benutzt werden, das heiBt nicht wahrend der 
Potenzierung selbst erfolgen; dieses ist zum Beispiel bei der w[indow]N[on]A[djacent] 
F[orm] der Fall. 

Die beim almost-online-Rekodieren eingesetzte Technik besteht nun darin, den Expo- 
nenten e in mehrere "Exponentenbrocken", das heiBt in mehrere Exponentenabschnitte 
Oder in mehrere Exponententeile zu unterteilen, die betrachtlich langer als w Bits, aber 
gleichwohl viel kurzer als e sind. Die Brocken oder Teile werden dann einzeln reko- 
diert, einmal verwendet, und danach wird der Speicher, in dem die Brocken oder Teile 
gespeichert worden sind, fiir das Rekodieren des folgenden Brockens bzw. des folgen- 
den Teils wiederverwendet, so dass der fiir den Exponenten n insgesamt bendtigte 
Speicherplatz in signifikanter Weise verringert werden kann. 

Die nachstehende almost-online-Rekodierung erfolgt unter der Annahme, dass die 
Brocken oder Teile eine Lange von L Bits aufweisen. Der Grund dafur, dass L wesent- 
lich grofier als w ist, besteht darin, dass die Abschatzungen fur die Anzahl nichtver- 
schwindender Koeffizienten in rekodierten Exponenten normalerweise asymptotisch 
gegeben werden, die tatsachliche Anzahl nichtverschwindender Koeffizienten in reko- 
dierten Exponenten jedoch manchmal infolge einer kleinen additiven Konstante groBer 
ist, was anhand eines konkreten Beispiels weiter unten noch veranschaulicht wird. 
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Nachfolgend wird im Rahmen des ersten Ausfuhrungsbeispiels der almost-online- 
Rekodierung ein Algorithmus vorgestellt, bei dem 

em Basiselement g der Abelschen Gruppe G, 
5 - eine ganze Zahl e mit n Bits, 

eine Fensterbreite w und 

eine Brocken- oder Teilbreite L » w 
eingegeben werden; die (Einfach-)Potenzierung g e wird ausgegeben: 

• Schritt 1, a? <-- 1 
Schritt 2- r : .#- fn/^li daru*^ ; 0|t e$ < 2|, ; 

Schritt 3. for k J8;^ 1 do writ a 0 do { 

Jf f ' ^ ; (a) r Re%dii er e (e* g ~-> ' ;=| flfy 2| 

(b) if b L ^0 then x <r~ x * g H 

(c) for j = L - 1 downto 0 do { 

(i) x 

(ii) s^' } } 



Hierzu ist anzumerken, dass es nach jeweils L Bits passieren kann., dass der vorstehende 
Algorithmus zwei Gmppenmultiplikationen in einer Reihe anstelle von nur einer 
Gruppenmultiplikation durchfiihrt. Dies geschieht, wenn einer der Brocken e t (= einer 
1 5 der Exponententeile e t ) eine ungerade Zahl darstellt und wenn das Rekodieren des 

folgenden Brockens e i+ i (= des folgenden Exponententeils e i+ i) urn einen Koeffizienten 
langer ist (b L ungleich Null). 

Es kann nun mittels eines konkreten Beispiels, bei dem die gewahlte Rekodierung die 
20 w[indow]N[on]A[djacent]F[orm] ist, gezeigt werden, dass der Geschwindigkeitsverlust 
minimal ist und dass die Speicherersparnis ziemlich groB sein kann: 
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Fiir n = 160 ist der optimale Wert von w gleich 5 (vgl. H. Cohen, "Analysis of the 
flexible window powering algorithm", Vorabdruck erhaltlich unter http://ww.math.u- 
bordeaux.tr/~cohen/); damit sind sieben Potenzen g 3 , g 5 , g 7 , g 9 , g n , g 13 , g 15 des 
Basiselements g vorzuberechnen, undg 2 wird auch voriibergehend benotigt. Mindestens 
funf Bits pro rekodiertem Koeffizienten sind erforderlich, aber der Implementor 
verwendet vermutlich vollstandige vorzeichenbehaftete Bytes. 

Zwei rekodierte Exponenten erfordern 320 Bytes R[andom]A[ccess]M[emory], aber 
zwei rekodierte 32 Bit-Brocken (= 32 Bit-Abschnitte oder 32 Bit-Teile) erfordern nur 
66 Bytes R[andom]A[ccess]M[emory]. Die eingesparten 254 Bytes R[andom]A[ccess] 
M[emory] konnen verwendet werden, um sechs Punkte einer elliptischen Kurve in 
affinen Koordinaten zu speichern. 

Cohen hat nun bewiesen (vgl. H. Cohen, "Analysis of the flexible window powering 
algorithm", Vorabdruck erhaltlich unter http://www.math.u-bordeaux.fr/~cohen/), dass 
das durchschnitthche Hamming-Gewicht der w[indow]N[on]A[djacent]F[orm] einer 
ganzen Zahl mit n Bits (, was die durchschnittliche Anzahl der Multiplikationen in der 
entsprechenden Potenzierung plus einer ist, ) gleich 

n/(w+l) + 1 - 0,5(w-l)(w+2)/(wf if + 0(p n ) 
ist, wobei p = p(w) eine reelle Zahl grofier als eins ist, die nur von w und nicht von n 
abhangig ist. Numerisch ist p = 2 m = 1,414... fur w = 3, 

p — 1,2157... fur w = 4 und 
p= 1,1296... furw = 5. 

Der vorstehende Satz hinsicMich des durchschnittlichen Hamming-Gewichts der 
w[indow]N[on]A[djacent]F[orm] impliziert, dass, wenn eine ganze Zahl in rBrocken 
bzw. in r Teile aufgespaltet wird, das gesamte Hamming-Gewicht der r Brocken bzw. 
der r Teile um 

(r-l)(l -0,5(w- l)(w+2)/(w+lf) 
groBer als das Hamming-Gewicht der ursprunglichen ganzen Zahl ist. 
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Im Fall n = 1 60 kann L = 32 und folglich r = 5 gewahlt werden. Die "flexible window"- 
Methode erfordert durchschnittlich 22/9 = 2,44 weniger Gruppenoperationen als die 
almost-online-Methode gemaB der vorliegenden Erfindung. Dieser Unterschied betragt 
etwa 1,26 Prozent der Gesamtlaufzeit des Potenzierungsalgorithmus (iiber die 193 
5 Gruppenoperationen, einschlieBlich der Zeit fur die Vorberechnungen); jedoch ist der 
Speicherbedarf fur die rekodierten Exponenten urn etwa achtzig Prozent verringert 
worden. 

Zweites Ausfuhrungsbeispiel: Multipotenzierung 

10 

Der vorstehende Algorithmus aus dem ersten Ausflihrungsbeispiel (einfeche 
Exponenzierung = "single exponentiation") kann in ein Multipotenzierungsverfahren 
transformiert werden. 

15 Wenn Gruppenelemente g h &sG und Exponenten e u e d mit d > 1 gegeben sind 
und TI^i d gf* berechnet werden soil, wird zunachst eine Entscheidung fiir eine Verwen- 
dung einer diinnbesetzten Rekodierung der E5q)onenten e u e d getroffen; dann wird 
eine "square-and-multiply n -Schleife verwendet: 

20 Zuerst werden alle Potenzen gf berechnet und gespeichert, wobei c ein zulassiger 

positiver Koeffizient ist. Dann wird eine temporare Variable x auf 1 s G gesetzt. Fiir j = 
n, 0 wird zuerst x quadriert, und fiir i = 1, d wird das quadrierte x mit gf* 

multipliziert, wobei e ifj der Koeffizient von 2/ in der Rekodierung von e t ist. Am Ende 
enthalt die temporare Variable x das gewunschte Resultat 

25 

Diese Methode wird auch als dvirchgeschobene Potenzierung bezeichnet; wie schon bei 
der Situation gemaB dem ersten Ausfuhrungsbeispiel ist es wiederum wiinschenswert, 
die Vorteile einer guten rechts-nach-links-Rekodierung beizubehalten, ohne zu viel 
Speicher verwenden zu mussen. 
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Die folgende Variante flihrt die Rekodierung "almost online", das heiBt nahezu wahrend 
der durchgeschobenen Multipotenzierung oder kurz nach der durchgeschobenen 
Multipotenzierung durch, wobei in den Algorifhmus 

Basiselemente g u ...,gd der Abelschen Gruppe G, 
5 - ganze Zahlen e u e d (d > 1) mit jeweils hochstens n Bits, 

eine Fensterbreite w, 

eine Brocken- oder Teilbreite L»w und 
vorberechnete Potenzen gf fur alle cinder Koeffizientenmenge 
eingegeben werden; die Multipotenzierung oder Vielfachpotenzierung EW* gf l wird 
1 0 ausgegeben: 

' y :-.v: : , .':'■•> ; : ; .- Vxxxvxx* '*'':*, ■*■ *- vi":*;*!*:!!^ »:*;•:•;•:•■;<•"•' .:•;■:•:•:•;•*:-*■** ••>:-:•:•:•;•:■ - wvvv* •■ ••*,-.*■■»»• *.-.* * ^vav.",".-. ....... ... . ... 

"*' *•*•*.'•;-; ,•: x>x-;*: : x"r"* : f*'v : ^ww* ■ ;-$<,<<<*-<<*>y<<*>''Q x-x-x ...>•;*;-:•;*;';-*'.'•:<;%-;•;•.': ,, : x : x : Xv''. . ..■SSS -XtX-x-x ~ x : :•.'>:•:•:■':'•' .*; :>: : x>x .\ . *:*:*x^x •:*;.• ■■*' ',; X;:;xx-x "xx*x\-'*xVx<*x* x-x>:;x 

■'v! * '*';Mv!;:;! . --X*'*X«.Y . •y,-*'-y. XX*X°X°X'- *••' -*-■ *-*X'X°X X»X -t";%'X*X'- \> ° X-X;X;X°X*X.. * '. * !*X*X*X . . X-. -X'X°X'- .-X* *«X» •****' •**;* ^ .■XvX'X-X* ' ■' ..*"*X»X*!v"X '.■<'•**■•*•'' : X"X *X-X X " >X I*r""*r*r"*""**%»X*X***X-T -'X*x*Xv\*x*xXvX** ■*■*■*■* . ■ *>v"v. 

i,, Schritt 1. x <— 1 

Schritt 2. 1 <• ;- fn/L], dann betrachte - g^J e i)fc 2 fc£ for / - 1 . . :JHfX 

^******X°- ■, XX;X . Xx****"!'!***"" ,<■. r»^5v«vX'- .*' '', ■•Jt**X*I»'**X": - **X*!*J*J'X*X*?'X . " Vx'X*X«X'. .*XvX*l"X'X'X*' . • X . X X'X'x'. X*X*r'X-. ""'*•* '*X»I*;*X**v' '■ '•.*'*!*X*X ■X'XX* >"■"■ X <Xv ■ivivX''*'' ."*"<■ *"x"x*X- ";X*X°< . vI*X\ -IvX'X**"-- * X\*X-X 

Schritt 3. for k ~ r - 1 downto 0 do { 

-i-y. •**' xy?*; . ' ~*.*x-X';*x-- x->. •. "*'*x*x" *.-x"_ x ■.•>.• ' *x*x*x*.' .*x- x-i*x*x-;*'*x-. ■ x-x*x . >' .'!"* *• *x*.*x*x ' X**-' *x*x*x 'yx-x-. .'x-x-x'x*. Vx*x*y'x .' •r-x-x*'-. -*-*• x-x'x x .*:•.■.-. ^ yx'x-x- v'x-y*.* x*? x-x*.*x >,■. .•x'x-v- - ' ■ • ■• - *'■!•• 

(a) for i = 1 to d . do { 

if. # 0 then ^ *~ ^••^^•"J'. 

(b) for j ~ X - 1 downto 0 do { 

(i) X <r~ X 2 

' . (ii)- . for i ^ 1 to d do { if'6i V ^% : ^^ ^^i-^ } 

: : .*:-x*:-:-:- ••'.*-*•>.■;•>?•;<•:•. :•*;•.•.•;•;•:•:% ■ ' - '■:«•'•'.' ■ '':*: :•:•:•'.•::•:-■-; •■•"*>:•?•:-* ■' ■ :•:•:•>:-:-•: . .. *•' * . "<•:«>;:•: ■ .-; .•••:•:•>:•;<:<, .'• •:•.':* ' : : : : : :-:-*:v:" •*•'':•; -x-x 7, . ■' 

>;•*«•:•:•;•■••:•:•:•: , ;;;v;'«v,;..::; ;v^;v;-;:; : :v:v: : - Vt;;S : :Kv ; ..^y^SS ■■^%i%$: : ,£<< ■. : . ; :':5 : : ; :v - , ■.'.wwv ,. - ;v:-': : : : k- 

Die zum Algorithmus gemaB dem ersten Ausfiihrungsbeispiel gemachten Anmerkungen 
sind auch bier relevant, das beiBt im Falle von elliptischen Kurven iiber einem 
1 5 endlichen Korper mit n = 1 60 und L = 32 werden 2,44d Gruppenoperationen verwendet, 
wobei d die Anzahl der Potenzen ist, die miteinander multipliziert werden sollen. Dies 
ist zwar mehr als bei der einfachen durchgeschobenen Potenzierung, jedoch konnen 
254f/ Bytes des R[andom]A[ccess]M[emory]s eingespart werden, das heiBt Speicher flir 
6d vorberechnete Punkte in affinen Koordinaten. 
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Drittes Ausfiihrungsbeispiel: 

Multipotenzierung mit parallelen schiebenden Fenstern 

Im dritten Ausfiihrungsbeispiel wird der Einsatz der almost-online-Rekodierung in einer 
5 Verallgemeinerung (vgl. R. Avanzi, "On the complexity of certain multi-exponentiation 
techniques in cryptography", erscheint in Journal of Cryptology) eines Algorithmus von 
Yen, Laih und Lenstra (vgl. S.-M. Yen, C.-S. Laih und A. K. Lenstra, "Multi- 
exponentiation", IEE Proc. Comput. Digit. Tech., Band 141, Nr. 6, November 1994) 
beschrieben. 

10 

In diesem Zusammenhang dient dieses nachfolgend dargelegte dritte Ausfiihrungs- 
beispiel vornehmlich der Erlauterung der Grundprinzipien des beschriebenen Algorith- 
mus; die erlangbare Effizienzsteigerung ist als eher gering einzuschatzen. Der Algorith- 
mus ist im wesentlichen eine Variante des Tricks von Shamir mit einem gleitenden 
1 5 Fenster ("sliding window") und wird im folgenden dargestellt: 

In den Algorithmus werden 
eine Fensterbreite w, 
ganze Zahlen e t = Sy= 0 w Gip und 
20 - eine Menge E von vorberechneten Elementen aus der Gruppe G der Form 11*=/ 

gt ki einschlieBlich gu gd (die Menge E ist stark von der Fensterbreite w und 
von der Darstellung der ganzen Zahlen e% abhangig; vgl. die Anmerkung nach 
dem nachstehenden Algorithmus) 

d St * 

eingegeben; die Multipotenzierung oder Vielfachpotenzierung II*=i g t 1 wird 
25 ausgegeben: 
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Schritt 1. n und x <— 1 e G 

Schritt 2. if (e i>t -i = 0 for % = 1, 2, . . . , d) then { 

&5K**"****-"". *•■' ■ ■■ '■' x»>X'X*x"x'x .V*'- x* /x-i-X'X'Xvr*"* '**■ x*x*x*x* i ■;■'•;*;• r-X'X*x*X\"-"'*x '. ,.*•*• x*x" " ' x x-x*x*x*x*"' .vVS*x*i*r*x*x*'*v '*" "■ ■* x">*»vy>;*;*:-M»; , 7* - ,! ■ Xvt"X'X*x- .'>t*i*!*x*.*'*' '■'•x**'x- x*XvX*--*'r-i» x"x»xv x*x*xJ£"<^x**»***' '**•£*****•«'"*.■" .■ 

(a) * +- i - 1 and % 4- a: 2 
} else { 

(b) if t > w then t <■■ /. - w else { w A— t ixnd t <- 0 } 

(c) for i = 1,2,... ^ do % 

(d) Sei s die grdfite'natiirlichc' Zahlf* > 0 derart. class 2 ;: \j\ fin alley 
. (e) fpr i = 1,2,... ,d do /« *- / f /2 s 

(f) (H^l^r^ (ii^^-nii^ and |n)|y|f } 

iwAVA^VA**-'''*' i .-.•x , .*x*x«j'' ■■*■***■*•*»'■• ......... v;v^w;v, . , **... »-.'."Xy!*''V*****'**'X***'* x-*»''X**'*»*»°°°*°° "'.*• ••'■■* x»x°x*!-" "-'*x*.*X'X*x^ ■ ■"■*■ .'*x"x*x ; .•■•;-;* . ■„■' ■'■x'x^xvCv x°.\'** >x"?' *•***■ -■ ■*••* ^'x'x**" 1 ■* '*XvX*x*r*xv:- •: ;•**"*'*;**•*'' '• x*x**' -x*x-x-. : x«>*****-** ■- v.*-'*»; 

Schritt 3. if t — o then return x else goto Schritt 2 



Hierzu ist anzumerken, dass ^ zu Beginn von Schritt 2.(c) die durch eine Kette von w 
aufeinanderfolgenden Bits des Exponenten e f dargestellte ganze Zahl ist. Nach dem 
5 Normalisierungsschritt 2.(e) ist rnindestens eine der/; ungerade. 

Wenn in der Gruppe G die Inversion von Elementen schnell erfolgt, wird die N[on] 
A[djacent]F[orm] als Rekodierung gewahlt. Es ist einfach zu sehen, dass die Anzahl 
von vorzeichenbehafteten ganzen Zahlen mit w Bits in der N[on]A[djacent]F[orm] I w = 
10 (2^ 2 -(- 1)^/3 betragt. Die Menge E enthalt alle Elemente der Form 11*=/ gf* derart, dass 

\h\<T w mti=\,2, ...,d, 
rnindestens eine der Jq ungerade und 

der erste nichtverschwindende Wert aus der Folge k\, k 2 hp positiv 

ist. Auf diese Weise kann Schritt 2.(f)(ii) entweder mit einer Multiplikation oder mit 
1 5 einer Division durchgefuhrt werden. Die Machtigkeit von E betragt (I w d -I yv . 1 d )/2. 

Nun werden die Parameter w = 2 = d flxiert und die N[on]A[djacent]F[orm] fur die 
Rekodierung der Exponenten gewahlt. Die Motivation hierfur ist die Herstellung von 
digitalen Signaturen mit elliptischen Kurven (vgl. American National Standards 
20 Institute, "ANSI X9.62: Public Key Cryptography for the Financial Services Industry: 
The Elliptic Curve Digital Signature Algorithm (ECDSA), 1999): 
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In diesem Falle ist d = 2, und fQr die interessante GroBe der Exponenten, namlich von n 
= 160 bis n = 240, ist der Parameter w = 2 optimal (vgl. R. Avanzi, "On the complexity 
of certain multi-exponentiation techniques in cryptography", erscheint in Journal of 
Cryptology). Der vorstehende Algorithmus aus dem dritten Ausfiihrungsbeispiel wird 
5 also zu einer almost-online-Multipotenzierung mit d = 2=w und der 
N[on]A[djacent]F[orm], wobei in den Algorithmus 

zwei (Basis-)Elemente g u gi der Abelschen Gruppe G, 
zwei naturliche Zahlen e;, B2 mit jeweils hochstens n Bits und 
eine Brocken- oder Teilbreite L mit n»L»2 
1 0 eingegeben werden; die Zweifachpotenzierung gi ei 'g2 62 wird ausgegeben: 
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Schritt 1. 



.SelrMIl 



Schritt 3. 



Berechne die 8 Elemente vor, mit entweder 0 < a <M-mS-^:^l 
b < 2 wobei mindestens erne von > , 6 ungerade ist, oder a ; 0 und 6 ~ 1:0 
[Siehe Remark A, 2] 



# *~ 1 ' - ;. 

''KSiS'fi??^:^* " : f : S: : :':-:':SI : : ; : : :' : ': '*' ' ■ % K : : : : ; ; : : r': : ' . . : .-: : r'.'v; : §...-. 

r -f- Tn/i/1, dajm betrachte \#= ZDo e;>2*| for i ~ 1,2 with 0;lk ; 

!***•***•*- ■•■XvXj5>^jw^i«x*&'**-' *^ivJ ->^- r"*'*"**>*< ••-*-*»' >xx*x*>.-. ; .•.*>x , x*x- ^.-.•v.-x-X'X'X*' v * ° " -**-*-Xv .-•■.*. ■.■.*•*!* >»vZ 7 x- *. : ».•.-.-.- *»;*'•»■. Xv. • "»■•%■• X"X****'**x*'v»*» • - - ' .v* - =*•'-■ ** ■>•;•,.*•.%•*-* ■*•'•' ■■ '•**.*-*•■ .*' \v.***xoiv-* ,'. V^SwK**' -■**'■•'- 

for A; :••= r — 1 dbwnto 0 do { 

'(a) for s = 1 5 2 do Rekodiere e iik als NAF : % ;U e iyk ~ j^jL 0 f^2«? 

0, »2 Q ?. . :• •" . ■ : ' . ■ ' , \p; " . " .:■ %r : j 

•if 

;(i|;'4f - (0,0) tken f% : 

for j ~ £ ~ l.|ow^p-iD|do^ {' ; ' X 



ill); 



(Mi) 

lit 



(v) 



if ^sj) y (0, 0) then { 
if (ai,a 2 ).^ (0,0) then { 
ai 4- 2 at + e&2 2a 2 + 

t } else { •■; • ; .: : • :%V|f%/%| %.:fi 
if ( j > 0 and (^Ji; i) ^ (0, 0) ) then { 

}■ 'eise' { 



Ifv^ (vi) x <- x ■ Igl • g ^ ) §p;a||i||fe|pi|| 

}■ (Srarf der inneren for-Schleife) 
J (End Vder^ 



Schritt 4* return. ^ 



Hierzu ist anzumerken, dass in Schritt 3 die beiden verschachtelten Schleifen des 
vorstehenden Algorithmus aus dem ersten Ausflihrungsbeispiel und das gleichzeitige 
sequentielle Abjfragen des vorstehenden ersten Algorithmus aus dem dritten 
Ausflihrungsbeispiel zu erkennen sind. 
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In den Schritten 3.(c)(ii), 3.(c)(iii), 3.(c)(iv), 3.(c)(v), 3.(c)(vi) werden Fenster der Breite 
2 fiber die gekoppelten N[on]A[djacent]F[oim]s von zwei Brocken bzw. von zwei 
Teilen mit L Bits zusammengestellt 

5 Zwei "Ubertrage" a 2 und a 2 speichern die Werte einer nichtverschwindenden Spalte, 
falls die folgende Spalte auch nichtverschwindend ist, so dass die Werte wahrend der 
nachsten Iteration verdoppelt und zu den Werten in der nachsten Spalte addiert werden 
konnen; vgl. Schritt 3.(c)(iii) . Die Schritte 3.(c)(iv) und 3.(c)(vi) werden mit einer 
Multiplikation oder mit einer Division durchgefiihrt. 

10 

Wenn nun zwei ganze Zahlen bj und b 2 als b t = E*=i m b t pl geschrieben werden, besteht 
eine Spalte aus einem Paar von Koeffizienten (bi >t , b 2> d aus den vorstehenden 
Darstellungen. Die geordnete Folge derartiger Spalten ist die gemeinsame Darstellung 
von bj und b 2 . Die Anzahl von nichtverschwindenden Spalten in einer gemeinsamen 
1 5 Darstellung wird Hamming-Gewicht der Darstellung genannt, und deren Dichte ist der 
Quotient des Hamming-Gewichts zur Lange m. 

Das durchschnitthche Hamming-Gewicht einer gemeinsamen Darstellung zweier 
N[on]A[djacent]F[orm]s ist 5/9. Es ist moglich zu beweisen, dass die zu erwartende 
20 Anzahl von Multiplikationen in der Hauptschleife des vorstehenden zweiten 

Algorithmus aus dem dritten Ausflihrungsbeispiel 1 ln/27 ist (vgl. R. Avanzi 3 "On the 
complexity of certain multi-exponentiation techniques in cryptography", erscheint in 
Journal of Cryptology), wobei die zusatzlichen Gruppenoperationen 3 die eventuell von 
der almost-online-Technik verursacht werden, ausgeschlossen sind. 

25 

Die Annahme, dass L entweder die native Wortlange der zentralen Recheneinheit (= 
C[entral]P[rocessing]U[nit]) der Smart-Card oder ein Meines Vielfeches davon ist, zum 
Beispiel L = 32, ermoglicht auch eine einfachere Implementierung. 



30 
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Mit Exponenten mit 160 Bits und unter Beachtung der Tatsache, dass eine N[on] 
A[djacent]F[orm] effizienterweise mit nur zwei Bits pro Koeffizientem gespeichert 
werden kann, werden etwa sechzehn Bytes R[andom]A[ccess]M[emory] fur die 
Speicherung der zwei rekodierten 32 Bit-Brocken (= der zwei rekodierten 32 Bit- 
5 Abschrdtte oder der zwei rekodierten 32 Bit-Teile) anstelle der achtzig Bytes fur die 
vollen Exponenten benotigt. Die Speicherersparnis entspricht dem Speicherbedarf eines 
Punkts in projektiven Koordinaten auf einer elliptischen Kurve iiber einem endlichen 
Koiper mit 1 60 Bits, ist also nicht so betrachtlich wie in den vorhergehenden beiden 
Ausfiihrungsbeispielen. 

10 

Ausgehend von einem Computerprogramm, das die Anzahl der Fenster abzahlt, die 
vom vorstehenden zweiten Algorithmus aus dem dritten Ausfiihrungsbeispiel auf 
Zahlenpaaren gegebener Lange gebildet werden, kann dann der Durchschnitt der 
Resultate von einhunderttausend Durchlaufen des Programms berechnet werden: 

15 

Die durchschnittliche Anzahl der Fenster auf Zahlenpaaren mit 160 Bits ist 65,81 153 
(zu beachten ist, dass (1 1/27)160 = 65,185), die durchschnitfliche Anzahl der Fenster 
auf Zahlenpaaren mit 32 Bits ist 13,64216 (zu beachten ist, dass (1 1/27)32 = 13,037). 
Infolgedessen ist zu erwarten, falls n= 160 und L = 32, dass der almost-online- 
20 Algorithmus nur 513,64216 - 65,81 153 = 2,39927, das heiBt etwa 2,4 mehr Gruppen- 
operationen als der vorstehende erste Algorithmus aus dem dritten Ausfiihrungsbeispiel 
benotigt. 

Da 235 die zu erwartende Gesamtanzahl der Gruppenoperationen des vorstehenden 
25 ersten Algorithmus aus dem dritten Ausfiihrungsbeispiel im Fall n = 160 ist, kann 
abgeschatzt werden, dass der von der erfindungsgemaB eingesetzten almost-online- 
Technik verursachte Leistungsverlust etwa ein Prozent betragt 

Es besteht eine alternative Darstellung zur N[on]A[djacent]F[orm] mit dem gleichen 
30 Hatnming-Gewicht, die mit einem einfachen links-nach-rechts-arbeitenden (vgl. M. 
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Joye und S.-M. Yen, "Optimal left-to-right binary signed-digit recoding", ffiEE 
Transactions on Computers 49 (7), 2000, Seiten 740 bis 748) Algorithmic berechnet 
werden kann. Mithin kann geflragt werden, ob diese Darstellung nicht anstelle der 
almost-online-Rekodierung benutzt werden konnte. Der Qrund dafur, dass die Antwort 
5 negativ ausfallt, ist darin zu sehen, dass diese Alternative die N[on]A[djacent]F[orm]- 
Eigenschaft nicht aufweist, das heiBt zwei aufeinanderfolgende Koeffizienten diirfen 
beide nicht verschwinden. 

Die diesbezuglichen Auswirkungen auf den Speicherbedarf sind sehr schlecht. Im 
10 vorliegenden Falle w = 2 = d wiirde die Menge E aus den Elementen gf'g2 b mit 

entweder 0 < a < 3 und -3 < b < 3, wobei a und/oder b ungerade ist, oder a = 0 und b = 
1 oder b = 3 bestehen; demzufolge hatte die Menge E die Machtigkeit 20; dies wiirde 
den Speicherverbrauch des vorstehenden ersten Algorithmus aus dem dritten 
Ausflihrungsbeispiel zu groJB machen. 

15 

Eine ahnliche Betrachtung trifft auf Solinas' "J[oint]S[parse]F[orm] - gemeinsame 
diinnbesetzte Darstellung" (vgl. J. A. Solinas, "Low-Weight Binary Representations for 
Pairs of Integers", Centre for Applied Cryptographic Research, University of Waterloo, 
Combinatorics and Optimization Research Report CORR 2001-41, 2001, erhaltlich 
20 unter http://www.cacr.math.uwaterloo.ca/techreports/2001/corr2001-41 .ps) zu: 

Die gemeinsame diinnbesetzte Darstellung rekodiert die beiden Exponenten gleichzeitig 
und voneinander abhangig. Die durchschnittliche Dichte der J[oint]S[parse]F[orm] ist 
1/2 und die Anzahl der Gruppenoperationen in der Hauptschleife des vorstehenden 
25 ersten Algorithmus aus dem dritten Ausflihrungsbeispiel mit w = 2 = d ist 3n/8 (wie 
zuvor, ohne die Vorberechnungen und die Kosten von almost-online-Rekodierung 
hinzuzuziehen). 

Die Anzahl vorberechneter Punkte betragt zwolf, und das ist viel groBer als die Anzahl 
30 acht der vorstehend vorgeschlagenen Variante, ohne dass der Durchsatz des Algorith- 
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mus mit Eingaben von 160 Bits bis 256 Bits betrachtlich besser wird. Fur eine ausfiihr- 
lichere Diskussion sowie fur entsprechende Beweise kann auf die Abschnitte 3.3 und 
4.4 von H. Cohen, "Analysis of the flexible window powering algorithm", Vorabdruck 
erhaltlich unter http://www.math.u-bordeaux.fr/-cohen/ verwiesen werden. 

5 

Viertes Ausfiihrungsbeispiel: einfache Skalarmultiplikation 



Die einfache Skalarmultiplikation in einer additiv geschriebenen Abelschen Gruppe G 

ergibt sich im Vergleich zum vorstehenden ersten Ausfiihrungsbeispiel (einfeche 

10 Exponenzierung = "single exponentiation") durch offensichtliche Ersetzungen [<--> 

neutrales Element "0", "Verdoppeln", "Summe" bei der Skalarmultiplikation anstelle 

von neutrales Element "1", "Quadrieren", "Produkt" bei der Potenzierung] und wird 

nachfolgend im Rahmen des vierten Ausfuhrungsbeispiels der almost-online- 

Rekodierung als Algorithmus vorgestellt, bei dem 

1 5 ein Basiselement g der Abelschen Gruppe G, 

eine ganze Zahl e mit n Bits, 

eine Fensterbreite w und 

eine Brocken- oder Teilbreite L»w 

eingegeben werden; die (Einfach-)Skalarmultiplikation eg wird ausgegeben: 

Schritt 1 x*- 0 \ : ' 

Schritt 2 Wg fn/L], dann betrachte e =~ ^^99^9^1 < e k < 2 X . 



Schritt 3 for k = r ~~ 1 downto 0 do % 

(b) if b L ^ 0 then x x + bzg 

(c) for j ^ L — 1 downto 0 do % |p 



20 Sihritt ^ return i. 



■;•.*>.■ .*;•-•:• • .'.*.-,*.•.•.•.•.•.*.*.* v****.*.v.-< --*;•;•:>' **•■* • '-■ .-.•.'.•-*.--*-* 



Hierzu ist analog zum ersten Ausfiihrungsbeispiel anzumerken, dass es nach jeweils L 
Bits passieren kann, dass der vorstehende Algorithmus zwei Gruppenmultiplikationen 
in einer Reihe anstelle von nur einer Gruppenmultiplikation durchfiihrt. Dies geschieht, 
25 wenn einer der Brocken e t (= einer der Exponententeile e t ) eine ungerade Zahl darstellt 



25 
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und wenn das Rekodieren des folgenden Brockens e i+1 (= des folgenden 
Exponententeils e i+I ) urn einen Koeffizienten langer ist (b L ungleich Null). 

Fiinftes Ausfuhnmgsbeispiel: Multiskalarmultiplikation 

Der vorstehende Algorithmus aus dem vierten Ausfiihrungsbeispiel (einfache Skalar- 
multiplikation) kann in ein Multi(skalar)multiplizierungsverfahren transformiert 
werden. EBerbei ergibt sich die Multiskalarmultiplikation in einer additiv geschriebenen 
Abelschen Gruppe G im Vergleich zum vorstehenden zweiten Ausfiihrungsbeispiel 
(Multipotenzierung) durch offisnsichtliche Ersetzungen [<-> neutrales Element "0", 
"Verdoppeln", "Summe" bei der Multiskalarmultiplikation anstelle von neutrales 
Element "1", "Quadrieren", "Produkt" bei der Multipotenzierung] und wird nachfolgend 
im Rahmen des funften Ausfuhrungsbeispiels der almost-online-Rekodierung als 
Algorithmus vorgestellt. 

Wenn Gruppenelemente g u gdsG und Exponenten e u e d mit d>l gegeben sind 
und 5W* ergi berechnet werden soil, wird zunachst eine Entscheidung fiir eine Verwen- 
dung einer dunnbesetzten Rekodierung der Exponenten eu e d getroffen; dann wird 
eine "square-and-multiply"»Schleife verwendet: 

Zuerst werden alle Vielfache cgt berechnet und gespeichert, wobei c ein zulassiger 
positiver Koeffizient ist. Dann wird eine temporare Variable x auf 0 s G gesetzt. Fiir j = 
n, n-1, 0 wird zuerst x verdoppelt, und fur i = 1 , d wird zum verdoppelten x 
der Operand eygi hinzuaddiert, wobei e u der Koeffizient von 2 / in der Rekodierung 
von e t ist. Am Ende enthalt die temporare Variable x das gewiinschte Resultat. 

Diese Methode wird auch als durchgeschobene Multiplikation bezeichnet; wie schon 
bei der Situation gemaB dem vierten Ausfiihrungsbeispiel ist es wiederum wiinschens- 
wert, die Vorteile einer guten rechts-nach-links-Rekodierung beizubehalten, ohne zu 
viel Speicher verwenden zu miissen. 
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10 



Die folgende Variante fQhrt die Rekodierung "almost online", das heiBt nahezu wahrend 
der durchgeschobenen Multiskalarmultiplikation oder kurz nach der durchgeschobenen 
Multiskalarmultiplikation durch, wobei in den Algorithmus 

Basiselemente g u g d der Abelschen Gruppe G, 

ganze Zahlen e u e d (d > 1) mit jeweils hochstens n Bits, 

eine Fensterbreite w, 

eine Brocken- oder Teilbreite L»w und 

vorberechnete Vielfache c g f fur alle c in der Koeffizientenmenge 
eingegeben werden; das Multiskalarprodukt d ergi wird ausgegeben: 



Schritt 1 
Schriti 3 



Schritt 4 



r fn/£], dann betrachte ei — X/^o 
mit 0 ;.<■ e ijk .< 2 L und t & 1, | . ,d. 
for fei r - 1. downto 0 do { 

(a) for i ~ 1 to d do { 

Rekodiere (e a ) -> EjLoA,* 2 * 
if b iiL t 0 then x <~ x + b i)L gi } 

(b) for | — L - 1 downto 0 do { 

(i) x 2x 

(ii) for i-X; to,^ 

> > , 1 



:wmm .tm 



•:;*:*-"---:<**.-:<*:*x-;-. 



15 



20 



Als abschlieflender Teil der Beschreibung wird nachstehend eine Liste der vorliegend 
angefiihrten Anzahlen, Elemente, Exponenten, Gruppen, Indices, Koeffizienten, 
Mengen, Parameter, Skalare, Variablen und Zahlen gegeben: 
Koeffizient 

b i>L der hochsten Zweierpotenz 2 L zugeordneter Koeffizient 
c zulassiger positiver Koeffizient 



C 
d 



endliche Menge ganzer Zahlen 

Anzahl der (Basis- oder Gruppen-)Elemente g t aus der Gruppe G 

= Anzahl der den (Basis- oder Gruppen-)Elementen g t zugehorigen Exponenten 

oder Skalare e% 

Exponent, insbesondere ganzzahliger Exponent, bei Einfachpotenzierung oder 
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Skalar, insbesondere ganzzahliger Skalar, bei Einfachskalarmultiplikation 
e% Exponent, insbesondere ganzzahliger Exponent, bei Multipotenzierung oder 

Skalar, insbesondere ganzzahliger Skalar, bei Mtdtiskalarmultiplikation 
e i>k -i dem (Exponenten- oder Skalar-)Brocken oder (Exponenten- oder Skalar-)Teil 
5 e i>k folgender (Exponenten- oder Skalar-)Brocken bzw. folgender (Exponenten- 

oder Skalar-)Teil 

e uk (Exponenten- oder Skalar-)Brocken oder (Exponenten- oder Skalar-)Teil des 
aufgeteilten Exponenten oder Skalars e% 

g (Basis- oder Gruppen-)Element bei Einfachpotenzierung oder bei 
10 Einfachskalarmultiplikation 

gi (Basis- oder Gruppen-)Element bei Multipotenzierung oder bei 
Multiskalarmultiplikation 

G Gruppe, insbesondere Abelsche Gruppe 

i Index 
15 j Index, insbesondere Sumtnationsindex 

k Variable, insbesondere Laufvariable 

L (Exponenten- oder Skalar-)Brockenbreite oder (Exponenten- oder Skalar- 

)Teilbreite, insbesondere Bitanzahl der (Exponenten- oder Skalar-)Brockenbreite 
bzw. der (Exponenten- oder Skalar-)Teilbreite 
20 n maximale Bitanzahl oder maximale Bitlange 

r Anzahl der (Exponenten- oder Skalar-)Brocken oder (Exponenten- oder Skalar- 

)Teile e itk 
w Parameter 
x temporare Variable 



25 
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PATENTANSPRUCHE 



1 . Verfahren zur Multipotenzierung (TW* g/0 bzw. zur MultiskaJarmultiplikation (E w rf 

e{gi) von Elementen (gi) mittels jeweils mindestens eines jeweils eine maximale 

Bitanzahl (n) oder Bitlange aufweisenden, insbesondere ganzzahligen Exponenten bzw. 

Skalars (ei), insbesondere zur Potenzierung (g 6 ) bzw. zur Skalarmultiplikation (eg) 
5 eines Elements (g) mittels mindestens eines eine maximale Bitanzahl (n) oder Bitlange 

aufweisenden, insbesondere ganzzahligen Exponenten bzw. Skalars (e), welche 

Elemente (g& g) mindestens einer 

im Falle der (Multi-)Potenzierung insbesondere multiplikativ bzw. 
im Falle der (Multi-)Skalarmultiplikation insbesondere additiv 
1 0 notierten, zum Beispiel Abelschen Gruppe (G) entstammen, 

gftVennzeichn et durch 

die folgenden Verfahrensschritte: 

[a. 1 ] Berechnen und Speichern oder 

[a.2] Wiedererlangen aus mindestens einem Speicher 
1 5 aller Potenzen (gf) bzw. aller Vielfachen (cgi), wobei c ein zulassiger positiver 

Koeffizient ist; 

[b] Unterteilen eines jeden Exponenten bzw. Skalars (ei) in mehrere Brocken oder in 
mehrere Teile (e&) mit einer durch eine bestimmte Bitanzahl (L) gegebenen 
Brocken- oder Teilbreite; und 
20 [c] einzelnes Rekodieren der Brocken oder Teile (e^ 



2. Verfahren gemaJJ Anspruch 1 , 
dadurch gekennzeichnet 

dass der Exponent bzw. Skalar (ei) in der unterteilten Form e t = XW dargestellt 
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wird, wobei 

r als die Anzahl der Brocken oder Teile (e ijk ), insbesondere als ganzzahliger 
Quotient aus der maximalen Bitanzahl (n) und der Bitanzahl (L) der Brocken- 
oder Teilbreite, definiert wird und 
0<<%*<2 L ist. 

3. Verfahren gemaB Anspruch 1 oder 2, 
dadurch gekennzeichnet 

dass die Brocken- oder Teilbreite (L) 

wesentlich grofier als ein Parameter (w), der der Breite, insbesondere der oberen 
Schranke der Breite, eines Fensters entspricht, iiber dem die Bits des jeweiligen 
Exponenten bzw. Skalars (e t ) gelesen werden, und 

wesentlich kiirzer als die maximale Lange eines jeden Exponenten bzw. Skalars 

w 

gewahlt wird, insbesondere vor dem Verfahrensschritt [a.l] und/oder [a.2] gewahlt 
wird. 

4. Verfahren gemaB mindestens einem der Anspriiche 1 bis 3 , 
dadurch gekennzeichnet 

dass im Falle der (Multi-)Potenzierung der Verfahrensschritt [c] des 

Rekodierens der Brocken oder Teile (e tk ) fur jeden einzelnen Brocken oder fur 

jeden einzelnen Teil eines jeden Exponenten (e,) in folgende Teilschritte 

unterteilt werden kann: 
[c.l] Setzen einer temporaren Variable (x) auf einen normierten Wert, insbesondere 

auf den Wert 1 des in bezug auf die der Gruppe (G) zugeordnete 

Gruppenoperation neutralen Elements der Gruppe (G); 
[c.2] sukzessives Setzen einer Variable (ic) auf die Werte r-l, r-2, 0, wobei fur 

jeden Wert £= r-1, r-2, 0 der Variable (k) die folgenden Teilschritte 

ausgefuhrt werden: 
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[c.2.i] fur jeden Wert i = 1, 2, d eines Index (i), wobei d als die Anzahl der 

Elemente (gi), insbesondere entsprechend der Anzahl der den Elementen (gi) 
zugeordneten Exponenten (e*), definiert wird: 
[c.2.i.a] Rekodieren des Brockens oder Teils (e ijk ) als Summe (S^ b t j2) aus mit 

5 jeweils mindestens einem mindestens einer endlichen Menge (C) ganzer 

Zahlen entstammenden Koeffizienten (b u ) gewichteten Zweierpotenzen 

[c.2.i.b] wenn der der hochsten Zweierpotenz (2 L ) zugeordnete Koeffizient (b u ) 

nicht verschwindet: Setzen der temporaren Variable (x) auf das Produkt 
1 o aus temporarer Variable (x) und der dem Koeffizienten (b u ) der hochsten 

Zweierpotenz (2 L ) zugeordneten Potenz (gf"*) des Elements (g t ); 
[c.2.ii] fur jeden Wert j = L-l, L-2, 0 des Index (/'): 
[c.2.ii.a] Quadrieren der temporaren Variable (x); 
[c.2.ii.b] fiir jeden Wert i = 1 , 2, . .., d des Index (i): 
1 5 wenn der der Zweierpotenz (20 zugeordnete Koeffizient {pi J) 

nicht verschwindet: Setzen der temporaren Variable (x) auf das 
Produkt aus temporarer Variable (pc) und der dem jeweiligen 
Koeffizienten (bfj) der Zweierpotenz (2) zugeordneten Potenz 
(g* u ) des Elements (gv); und 
20 - dass nach dem Verfahrensschritt [c] des einzelnen Rekodierens der Brocken 

oder Teile (ey) die temporare Variable (pc) wiedergegeben wird. 



5. Verfahren gemaB mindestens einem der Anspriiche 1 bis 3, 

dadurch gekeimzeichnet, 
25 - dass im Falle der (Multi-) Skalarmultiplikation der Verfahrensschritt [c] des 

Rekodierens der Brocken oder Teile fiir jeden einzelnen Brocken oder fur 
jeden einzelnen Teil (e^ eines jeden Skalars (e t ) in folgende Teilschritte 
unterteilt werden kann: 

[c. 1] Setzen einer temporaren Variable (x) auf einen normierten Wert, insbesondere 
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auf den Wert 0 des in bezug auf die der Gruppe (G) zugeordnete 
Gruppenoperation neutralen Elements der Gruppe (G); 
[c.2] sukzessives Setzen einer Variable (k) auf die Werte r-1, r-2, ..„, 0, wobei fur 
jeden Wert k= r-1, r-2, 0 der Variable (k) die folgenden Teilschritte 
ausgefiihrt werden: 

[c.2.i] fur jeden Wert / = 1, 2, eines Index (i), wobei als die Anzahl der 

Elemente (gy), insbesondere entsprechend der Anzahl der den Elementen (gy) 
zugeordneten Skalare (ej), definiert wird: 
[c.2.i.a] Rekodieren des Brockens oder Teils (e i>k ) als Summe (T>j=o L b u 2?) aus mit 

jeweils mindestens einem mindestens einer endlichen Menge (C) ganzer 
Zahlen entstammenden Koeffizienten (bij) gewichteten Zweierpotenzen 

&); 

[c.2 J.b] wenn der der hochsten Zweierpotenz (2 L ) zugeordnete Koeffizient (b it £) 

nicht verschwindet: Setzen der temporaren Variable (jc) auf die Summe 
aus temporarer Variable (jc) und des dem Koeffizienten (b ifL ) der 
hochsten Zweierpotenz (2 Z ) zugeordneten Vielfachen (b ifL gd des 
Elements (g t ); 
[c.2.ii] fur jeden Wert/ = Z-l, L-2, 0 des Index (/): 
[c.2ii.a] Verdoppeln der temporaren Variable (jc); 
[c.2.ii/b] far jeden Wert i = 1, 2, d des Index (i): 

wenn der der Zweierpotenz (2 / ) zugeordnete Koeffizient (by) 
nicht verschwindet: Setzen der temporaren Variable (jc) auf die 
Summe aus temporarer Variable (jc) und des dem Koeffizienten 
(b t J) der Zweierpotenz (2 / ) zugeordneten Vielfachen (by g t ) des 
Elements (gy); und 

dass nach dem Verfahrensschritt [c] des einzelnen Rekodierens der Brocken 
oder Teile (e ijk ) die temporare Variable (x) wiedergegeben wird. 
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6. Verfahxen gemaB mindestens einem der Anspriiche 1 bis 5, 
dadurch gekennzeichnet 

dass der rekodierte Bracken oder der rekodierte Teil (e^jt) einmal verwendet wird 
und 

5 - dass die Speichereinheit, in der der rekodierte Brocken oder der rekodierte Teil 

(e^jt) gespeichert wird, fiir das Rekodieren des folgenden Brackens oder des 
folgenden Teils eingesetzt wird. 

7. Verfahren gemaB mindestens einem der Anspriiche 1 bis 6, 
10 dadurch gekennzeichnet 

dass das Verfahren auf mindestens einem insbesondere mindestens einer Chipkarte 
und/oder insbesondere mindestens einer Smart-Card zugeordneten Mikroprozessor 
implementiert wird. 

15 8. Mikroprozessor, arbeitend gemaB einem Verfahren gemaB mindestens einem der 
Anspriiche 1 bis 7. 

9. Vorrichtung, insbesondere Chipkarte und/oder insbesondere Smart-Card, aufweisend 
mindestens einen Mikroprozessor gemaB Anspruch 8. 

20 

10. Verwendung eines Verfahrens gemaB mindestens einem der Anspriiche 1 bis 7 
und/oder mindestens eines Mikroprozessors gemaB Anspruch 8 und/oder mindestens 
einer Vorrichtung, insbesondere mindestens einer Chipkarte und/oder insbesondere 
mindestens einer Smart-Card, gemaB Anspruch 9 bei mindestens einem Kryptosystem, 

25 insbesondere bei mindestens einem Public-Key-Kiyptosystem, bei mindestens einem 
Schliisselaustauschsystem oder bei mindestens einem Signatursystem. 
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71 TS AMMENF AS SUNG 
Verfahren zutn Potenzieren bzw. Multiplizieren von Elementen 

Urn ein Verfahren zur Multipotenzierung (TI^/ gf ) bzw. zur Multiskalarmultiplikation 
eigi) von Elementen (g z ) mittels jeweils mindestens eines jeweils eine maxitnale 
5 Bitanzahl (n) oder Bitlange aufweisenden, insbesondere ganzzahligen Exponenten bzw. 
Skalars (e t ), insbesondere zur Potenzierung (gO bzw. zur Skalarmultiplikation {e g) 
eines Elements (g) mittels mindestens eines eine maximale Bitanzahl (n) oder Bitlange 
aufweisenden, insbesondere ganzzahligen Exponenten bzw. Skalars (e\ welche 
Elemente (gv; g) mindestens einer 
10- im Falle der (Multi-)Potenzierung insbesondere multiplikativ bzw. 

im Falle der (Multi-) Skalarmultiplikation insbesondere additiv 
notierten, zum Beispiel Abelschen Gruppe (G) entstammen, so weiterzubilden, dass 
auch und gerade in extrem eingeschrankten Umgebungen, wie etwa bei Smart-Cards, 
der Bedarf an Speicherplatz fiir rekodierte Exponenten bzw. Skalare so stark wie 
1 5 moglich verringert wird, werden die folgenden Verfahrensschritte vorgeschlagen: 
[a. 1 ] Berechnen und Speichern oder 
[a.2] Wiedererlangen aus mindestens einem Speicher 

aller Potenzen (gf) bzw. aller Vielfachen (c'gi), wobei c ein zulassiger positiver 
Koeffizient ist; 

20 [b] Unterteilen eines jeden Exponenten bzw. Skalars (e t ) in mehrere Brocken oder in 

mehrere Teile (e ifk ) mit einer durch eine bestimmte Bitanzahl (L) gegebenen 
Brocken- oder Teilbreite; und 
[c] einzelnes Rekodieren der Brocken oder Teile (e^)- 
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